mrinzouのブログ

ITとかガジェットとか思いつくままに

Azure Virtual DeskTop(その2)

マシンイメージの作成やら、AAD Domain Serviceの準備やらでえらい大変だったけどようやくADV構築準備完了。

  • ホストプールの作成

仮想マシンのグループとなるホストプールを作成。目玉であるマルチセッションを使ってみたかったけど、プロファイルコンテナーの管理が面倒なので個人で作成。

途中でドメイン参加用のアカウント(ちょっとはまった。後述)やローカルPCの管理者アカウントを入力。

デスクトップアプリグループやワークスペースもあわせて作成。
あんまり意識していなかったけど、アプリケーショングループも勝手に作成されていた。

  • アプリケーショングループにグループ割り当て

AVDを使わせたいユーザ/グループをアプリケーショングループに割り当てる。ここで割り当てておかないと、この後に実施するセッションホストにユーザの割り当てができない。(気がする)


  • セッションホストを割り当て

AVDを使わせたいユーザにセッションホストを割り当て。ちょっと導線がわかりにくい。


*1

  • デスクトップへ接続

Remote Desktopクライアントなるものがあるのだけど、ここではブラウザで以下URLに接続する。
https://client.wvd.microsoft.com/arm/webclient/index.html

一回目の認証は、AzureADでの認証。条件付きアクセスもここで適用される。

セッションホストで割り当たデスクトップが表示される。

デスクトップをクリックすると、ローカルPCへのリソース接続の確認が表示。

また資格情報を入れろと。ここでの認証はDomain Serviceのほう。

認証が通ると無事デスクトップが表示され、お仕事ができる環境が整った。

あんまり感動なかったな。orz

*1:アプリケーショングループに割り当てられたユーザでないと検索しても出てこない

Azure Virtual DeskTop(その1)

仕事でAVDを今後触ることになりそうなので、Azureの無償評価版を利用して、AVDを構築してみた。

構成としてはざっくりとこんな感じ
・ユーザは自宅のドメコンからAzureADに同期。
・PC(セッションホスト)がドメインに参加する必要があるのだが、自宅のドメコンと接続させることもできないので、「Azure AD Domain Service」を利用。
AzureADのユーザはADSに同期される。

  • 評価版のAzureをサブスクライブ

最近の円安の影響で無償評価で利用できる金額が上がっていた。¥27,000くらいだったかな。その分利用料も上がっているんだろうけど。orz

  • リソースグループの新規作成

AVD関係のリソースはあとからまとめて消せるように、専用のリソースグループ「rg-avd」を作成して全部ここに放り込む。

  • Vnet作成

専用のVnetとして、「Vnet-avd」を作成。アドレス空間に10.0.0.0/16を割り当て、サブネットは2つ。

  • Azure AD Domain Serviceの作成

検索窓に「Azure AD Domain Service」と打ち込んで、「Azure AD Domain Service」をクリック。

その後、新規作成。マネージドドメイン独自ドメイン)を登録しているからか、ドメイン名はマネージドドメインが勝手に利用された。

仮想PC(セッションホスト)をドメインに参加させるときに必要となる、管理者ユーザの作成。同期アカウントを利用すべき気もするが面倒なのでAzureAD上で作成。
その後、AzureADの「AAD DC Administrators」のメンバに加える。(Azure AD Domain Serviceを作成するとできるグループかな?)

  • イメージの作成

仮想PCのもととなるイメージを作成。AVDを動かすだけだったら、マーケットプレースにあるやつでいいんだろうけど、業務用ではカスタイズするだろうから適当に仮想マシンを構築。
適当にカスタマイズしたあと、コマンドプロンプトからsysprepを実行。

C:\Windows\System32\Sysprep\sysprep.exe /generalize /oobe /shutdown

そんでもってイメージ化。(イメージ化後は、仮想マシンは消す)

このあと「ホストプール」や「アプリケーショングループ」を作成するのだけど、とりあえずここまで。続きは後日。

Exchange OnlineでDMARCを試してみる

先日(と言っても2か月以上前だけど)、マイクロソフト365開発者プログラムを登録した。

その間にシームレスSSOや条件付きアクセスを試してみたけど、記事にするためのログをとっていなかったのでそれはまた今度として、メールセキュリティのためのDMARCを試してみた。

参考にしたページはこちら
docs.microsoft.com


DMARCとは、Domain-based Message Authentication, Reporting, and ComformanceのAcronymで
・送信者メール認証を行う。
・SFPやDKIMと一緒に使う。
とのこと。SPFはなじみあるけど、DKIMとかまたよくわからないのが出てきた。
DKIMとは、ディーキムと発音し、ヘッダに署名をつけるものらしい。
いろいろ調べてもよくわからんのでまずは設定を試してみた。

  • まずは事前確認

Exchange Onlineから設定前に自分のgmailにメールを送ってみる。ヘッダを見ると、長すぎてうげぇとするけど、たぶんDKIM/DMARCのヘッダはこんな感じ。

authentication-results: dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=*****.*****.jp;

https://security.microsoft.com/dkimv2から、まずはキーの作成。
f:id:mrinzou:20220405223155p:plain

そのあとCNAME(ヘッダに署名する公開キーの置き場かな?)を登録しろと言われるので登録。
f:id:mrinzou:20220405223458p:plain

しばらくするとグレーアウトしていたトグルが有効になったので、DKIMを有効化。
f:id:mrinzou:20220405224346p:plain

再度、gmailにメールを送りヘッダを確認する。DKIMの署名らしきものはついたけど、dkim=noneになる。

ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=mime-version:msip_labels:content-language:accept-language
:message-id:date:thread-index:thread-topic:subject:to:from
:dkim-signature;
bh=p0FpB6Ts8Q6FuIHgiiOOZqhV3wQXpxyTtDBzk2UEp44=;
b=NoKoAG8vnB8lQfU/q3DQ/5t0al+FggLVtOiWIsHQEHTGor3qDe1meYuqmPoMUZWw7+
tSz6xBiJX24OyxLe6/u15Fb9wxrKfrxzaQdIM7EeUDOSdk1RN+RA3RrVVkhsoOJXYRNL
GudIHeF2vuraSQ9uyCXwkW3bOi1dyRQkotkyg+6xrNccElRpNzla9tR/wGEtc6d2IY9c
rkeqvycO/JeBkJbPy74egvcgW1ch6680xy+ATwWEdAnWtTwIuUBAQoGgX5dXTTIdhq9b
2mhOfyenqS5o9OcQVK8b5lFNPOs35EbN+3zPNFhxvr1QfQs2enb1A06wLujqjJHau6IV
K8kw==
authentication-results: dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=******.*****.jp;

でもメールのヘッダレポート(?)を確認すると最初はなかったDKIMが出てきた。ますますわからん。
f:id:mrinzou:20220405224148p:plain

  • DMARCの設定

DMARCはSPFDKIMの認証に失敗したときに、メール受信サーバに対する指示をDNSのTXTレコードに記載することで成り立つらしい。まずはシンプルに、こんな感じでTXTレコードを追加。

_dmarc.*****.****.jp. TXT "v=DMARC1; p=none; ruf=devadmin@****.onmicrosoft.com; rua=devadmin@****.onmicrosoft.com"

メール送信認証に失敗したときに、受信メールサーバに以下のように指示する。
P=none; 何もしない。ほかにquarantineやrejectがある。
ruf=devadmin@****.onmicrosoft.com; failure reportの略。どこをどう略したらrufになるのかわからん。
指定した先に認証失敗時のレポートを送る。

rua=devadmin@****.onmicrosoft.com Aggregate Reportの略。これもどう略したらrafなのかわからん。統計レポートを送る。

DMARCを設定したあとに、再度gmailにメールを送信。
メールのヘッダレポート(?)を確認すると、DMARCも出てきた。
f:id:mrinzou:20220405230221p:plain

ヘッダもなんか変わった。

ARC-Authentication-Results: i=2; mx.google.com;
dkim=pass header.i=@*****.****.jp header.s=selector1 header.b=MRkLL5NE;
arc=pass (i=1 spf=pass spfdomain=****.*****.jp dkim=pass dkdomain=*****.*****.jp dmarc=pass fromdomain=*****.*****.jp);
spf=pass (google.com: domain of devuser01@*****.*****.jp designates 2a01:111:f400:feae::60d as permitted sender) smtp.mailfrom=devuser01@*****.*****.jp;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=*****.*****.jp

そのうちレポートが指定したアドレスに送付されてくるのかな。といってもりんぞうのドメインをなりすますやつなどいなさそうだけど。orz
ヘッダの見方もちゃんと調べよう。。。